JPWO2020161780A1 - 行動計画推定装置、行動計画推定方法、及びプログラム - Google Patents
行動計画推定装置、行動計画推定方法、及びプログラム Download PDFInfo
- Publication number
- JPWO2020161780A1 JPWO2020161780A1 JP2020570224A JP2020570224A JPWO2020161780A1 JP WO2020161780 A1 JPWO2020161780 A1 JP WO2020161780A1 JP 2020570224 A JP2020570224 A JP 2020570224A JP 2020570224 A JP2020570224 A JP 2020570224A JP WO2020161780 A1 JPWO2020161780 A1 JP WO2020161780A1
- Authority
- JP
- Japan
- Prior art keywords
- action plan
- action
- group
- log
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/041—Abduction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、情報取得部と、
前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、グループ生成部と、
前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、行動計画推定部と、
を備えている、
ことを特徴とする。
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を有する、
ことを特徴とする。
コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる命令を含む、プログラムを記録している、
ことを特徴とする。
以下、本発明の実施の形態1における、行動計画推定装置、行動計画推定方法、及びプログラムについて、図1〜図7を参照しながら説明する。
最初に、本発明の実施の形態1における行動計画推定装置の概略構成について説明する。図1は本発明の実施の形態1における行動計画推定装置の概略構成を示すブロック図である。
次に、本実施の形態1における行動計画推定装置10の動作について図3を用いて説明する。図3は、本発明の実施の形態1における行動計画推定装置の動作を示すフロー図である。以下の説明においては、適宜図1及び図2を参照する。また、本実施の形態1では、行動計画推定装置10を動作させることによって、行動計画推定方法が実施される。よって、本実施の形態1における行動計画推定方法の説明は、以下の行動計画推定装置10の動作説明に代える。
ここで、本実施の形態1における行動計画推定装置10の動作の具体例について、図4〜図7を用いて説明する。また、具体例の説明は、上述した図3に示す各ステップに沿って行う。
情報取得部11は、図4に示す動作ログとそれに付随する文脈情報とを取得する。図4は、図3に示したステップA1で取得される動作ログ及び文脈情報の一例を示す図である。図4の例では、動作ログとして、「マルウェア検知」、「不正ログオン1」、及び「不正ログオン2」が取得されている。また、図4では、左側に、動作ログと文脈情報とが模式的に示され、右側にこれらの論理式が示されている。
グループ生成部12は、図5に示すように、ステップA1で取得した動作ログそれぞれを、文脈情報間の類似性に基づいて、グループに分ける。図5は、図3に示したステップA2で作成されたグループの一例を示す図である。図4に示したように、「マウルェア検知」と「不正ログオン1」とにおいて、行為主体及び実行場所が一致している。このため、図5の例では、これらの動作は同じグループとなる。
行動計画推定部13は、図5に示したグループに含まれる動作ログに、知識データを適用して仮説推論を実行する。そして、行動計画推定部13は、図6に示すように、仮説推論の結果から行動計画を推定する。図6は、図3に示したステップA3の仮説推論から推定された行動計画の一例を示す図である。図6の例では、仮説推論により、ステップA2で作成されたグループに含まれる「マルウェア検知」及び「不正ログオン1」を起点として、起点から終点「目標状態」までに、マルウェアによって行われる行為が導出されている。
メッセージ作成部15は、ステップA3で得られた仮説推論に含まれる「行為」のうち、ステップA1で取得された動作ログに直接結びついていないものを特定する。図6の例では、「データ外部送信」がそれに該当する。続いて、メッセージ作成部15は、知識データを用いて、「データ外部送信」の成立に必要な動作を特定する。具体的には、メッセージ作成部15は、知識データを用いて、「データ外部送信」の成立に必要な動作として、「情報盗取」を特定する。
次に、行動計画出力部14は、図7に示すように、ステップA4で推定された行動計画と、ステップA5で生成されたメッセージとを外部の装置に出力する。図7は、図3に示したステップA6の実行により画面に表示された行動計画とメッセージとの一例を示す図である。図7の例では、行動計画とメッセージとが画面上に表示されている。
このように、本実施の形態1では、コンピュータシステム30上で、ソフトウェア、具体的にはマルウェアが動作しようとすると、マルゥエアによって何がどのような手順で行われようとしているか(行動計画)が、推定され、推定結果が提示される。また、行動計画の推定は、仮説推論を用いて行われるので、サイバー攻撃の手口が多様化した場合であっても可能である。更に、本実施の形態1では、この行動計画の解釈を支援するメッセージが作成され、これも提示される。このため、コンピュータシステム30の管理者は、適切な対応をすばやくとることができる。
本実施の形態1におけるプログラムは、コンピュータに、図3に示すステップA1〜A6を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1における行動計画推定装置10と行動計画推定方法とを実現することができる。この場合、コンピュータのプロセッサは、情報取得部11、グループ生成部12、行動計画推定部13、行動計画出力部14、及びメッセージ作成部15として機能し、処理を行なう。
本発明の実施の形態2における、行動計画推定装置、行動計画推定方法、及びプログラムについて、図8〜図10を参照しながら説明する。
最初に、本発明の実施の形態2における行動計画推定装置20の構成について説明する。図8は、本発明の実施の形態2における行動計画推定装置の構成を示すブロック図である。
次に、本実施の形態2における行動計画推定装置20の動作について図9を用いて説明する。図9は、本発明の実施の形態2における行動計画推定装置の動作を示すフロー図である。以下の説明においては、適宜図8を参照する。また、本実施の形態2においても、行動計画推定装置20を動作させることによって、行動計画推定方法が実施される。よって、本実施の形態2における行動計画推定方法の説明は、以下の行動計画推定装置20の動作説明に代える。
ここで、本実施の形態2における行動計画推定装置20の動作の具体例について、図10(a)及び(b)を用いて説明する。図10(a)は、図9に示したステップB3及びB4の処理の一例を示し、図10(b)は、図9に示したステップB5及びB6の処理の一例を示す図である。また、具体例の説明は、上述した図9に示す各ステップに沿って行う。
本実施の形態2においても、情報取得部11は、実施の形態1と同様に、例えば、図4に示す動作ログとそれに付随する文脈情報とを取得する。
本実施の形態2においても、グループ生成部12は、実施の形態1と同様に、例えば、図5に示すように、ステップB1で取得した動作ログそれぞれを、文脈情報間の類似性に基づいて、グループに分ける。
部分目的推定部16は、ステップB1で取得された動作に対して、知識データを適用して、演繹推論を実行する。これにより、図10(a)に示すように、「マルウェア検知」に対して行為「侵入」が導出され、その「侵入」と「不正ログオン1」とに対して「感染拡大」が導出される。また、「侵入」に対して演繹推論を実行すると、「感染拡大」が導出される。このため、図10(a)に示すように、「マルウェア検知」と「不正ログオン1」との両方が揃うと、「侵入」及び「感染拡大」が追加される。
行動計画推定部13は、図10(a)に示した追加後のグループに含まれる動作ログに、知識データを適用して仮説推論を実行する。そして、行動計画推定部13は、図10(b)に示すように、行動計画を推定する。図10(b)の例でも、実施の形態1で示した図6の例と同様に、仮説推論により、ステップB2で作成されたグループに含まれる「マルウェア検知」及び「不正ログオン1」を起点として、起点から終点「目標状態」までに、マルウェアによって行われる行為が導出されている。
本実施の形態2においても、メッセージ作成部15は、実施の形態1において示した具体例と同様にメッセージを作成する。メッセージの例としては、「“情報盗取”に関する“データ外部送信”が、“2018/05/31 13:54:28”より後に、“admin01”の権限で、“183.79.40.183”または“183.79.52.210”上で行なわれた可能性があります。」が挙げられる。
本実施の形態2においても、行動計画出力部14は、例えば、図7に示すように、ステップB6で推定された行動計画と、ステップB7で生成されたメッセージとを外部の装置に出力する。
このように、本実施の形態2では、演繹推論が行われるので、事実に基づいた現象を追加することができ、その上で仮説推論が行われる。このため、本実施の形態2によれば、実施の形態1に比べて仮説推論における精度の向上を期待できる。なお、上述の具体例で得られた行動計画は、実施の形態1に示した具体例で得られた行動計画と同様であるが、取得される動作ログの数が増加する程、実施の形態1に比べて、仮説推論における精度は向上する。
本実施の形態2におけるプログラムは、コンピュータに、図9に示すステップB1〜B8を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2における行動計画推定装置20と行動計画推定方法とを実現することができる。この場合、コンピュータのプロセッサは、情報取得部11、グループ生成部12、行動計画推定部13、行動計画出力部14、メッセージ作成部15、及び部分目的推定部16として機能し、処理を行なう。
ここで、実施の形態1及び2におけるプログラムを実行することによって、行動計画推定装置を実現するコンピュータについて、図11を用いて説明する。図11は、本発明の実施の形態1及び2における行動計画推定装置を実現するコンピュータの一例を示すブロック図である。
コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、情報取得部と、
前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、グループ生成部と、
前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、行動計画推定部と、
を備えている、
ことを特徴とする行動計画推定装置。
付記1に記載の行動計画推定装置であって、
推定された前記行動計画を外部に出力する、行動計画出力部を更に備えている、
ことを特徴とする行動計画推定装置。
付記2に記載の行動計画推定装置であって、
前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、メッセージ作成部を、
更に備え、
前記行動計画出力部が、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とする行動計画推定装置。
付記1〜3のいずれかに記載の行動計画推定装置であって、
前記グループ毎に、当該グループに含まれる前記動作ログに、前記知識データを適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、部分目的推定部を更に備え、
前記行動計画推定部は、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とする行動計画推定装置。
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を有する、
ことを特徴とする行動計画推定方法。
付記5に記載の行動計画推定方法であって、
(d)推定された前記行動計画を外部に出力する、ステップを更に有する、
ことを特徴とする行動計画推定方法。
付記6に記載の行動計画推定方法であって、
(e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを更に有し、
前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とする行動計画推定方法。
付記5〜7のいずれかに記載の行動計画推定方法であって、
(f)前記グループ毎に、当該グループに含まれる前記動作ログに、前記知識データを適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを更に有し、
前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とする行動計画推定方法。
コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる命令を含む、プログラムを記録している、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
付記9に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(d)推定された前記行動計画を外部に出力する、ステップを実行させる命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
付記10に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを実行させる命令を更に含む、
前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とするコンピュータ読み取り可能な記録媒体。
付記9〜11のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(f)前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを実行させる命令を更に含む、
前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
11 情報取得部
12 グループ生成部
13 行動計画推定部
14 行動計画出力部
15 メッセージ作成部
16 部分目的推定部
20 行動計画推定装置(実施の形態2)
30 コンピュータシステム
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる、
ことを特徴とする。
コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる、プログラム。
付記9に記載のプログラムであって、
前記コンピュータに、
(d)推定された前記行動計画を外部に出力する、ステップを更に実行させる、
ことを特徴とするプログラム。
付記10に記載のプログラムであって、
前記コンピュータに、
(e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを更に実行させ、
前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する、
ことを特徴とするプログラム。
付記9〜11のいずれかに記載のプログラムであって、
前記コンピュータに、
(f)前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを更に実行させ、
前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とするプログラム。
Claims (12)
- コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、情報取得部と、
前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、グループ生成部と、
前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、行動計画推定部と、
を備えている、
ことを特徴とする行動計画推定装置。 - 請求項1に記載の行動計画推定装置であって、
推定された前記行動計画を外部に出力する、行動計画出力部を更に備えている、
ことを特徴とする行動計画推定装置。 - 請求項2に記載の行動計画推定装置であって、
前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、メッセージ作成部を、
更に備え、
前記行動計画出力部が、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とする行動計画推定装置。 - 請求項1〜3のいずれかに記載の行動計画推定装置であって、
前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、部分目的推定部を更に備え、
前記行動計画推定部は、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とする行動計画推定装置。 - (a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を有する、
ことを特徴とする行動計画推定方法。 - 請求項5に記載の行動計画推定方法であって、
(d)推定された前記行動計画を外部に出力する、ステップを更に有する、
ことを特徴とする行動計画推定方法。 - 請求項6に記載の行動計画推定方法であって、
(e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを更に有し、
前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とする行動計画推定方法。 - 請求項5〜7のいずれかに記載の行動計画推定方法であって、
(f)前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを更に有し、
前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とする行動計画推定方法。 - コンピュータに、
(a)コンピュータシステム上でソフトウェアが行った動作毎に、当該動作を示す動作ログ及び当該動作の状況を示す文脈情報を取得する、ステップと、
(b)前記動作ログそれぞれを、前記文脈情報間の類似性に基づいて、グループに分ける、ステップと、
(c)前記グループ毎に、当該グループに含まれる前記動作ログに、ソフトウェアによって実行される行動計画とその際のソフトウェアの動作との関係を示す知識データを適用して仮説推論を実行し、仮説推論の結果を用いて、当該グループに含まれる前記動作ログが示す動作から、予め設定された目標状態に至るまでの、前記動作ログが取得された前記ソフトウェアによって実行される行動計画を推定する、ステップと、
を実行させる命令を含む、プログラムを記録している、
ことを特徴とするコンピュータ読み取り可能な記録媒体。 - 請求項9に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(d)推定された前記行動計画を外部に出力する、ステップを実行させる命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。 - 請求項10に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(e)前記仮説推論の結果から、前記動作ログに直接結びついていない要素の成立に必要となる動作を特定し、そして、前記動作ログの前記文脈情報を用いて、特定した動作の状況を示す文脈情報を推定し、加えて、推定した前記文脈情報を用いて、前記行動計画についてのメッセージを生成する、ステップを実行させる命令を更に含む、
前記(d)のステップにおいて、推定された前記行動計画に加えて、生成された前記メッセージも外部に出力する
ことを特徴とするコンピュータ読み取り可能な記録媒体。 - 請求項9〜11のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
(f)前記グループ毎に、当該グループに含まれる前記動作ログを、前記知識データに適用して、演繹推論を実行し、更に、演繹推論の結果を用いて、前記動作ログが示す動作から導かれる新たな動作を特定し、そして、特定した前記新たな動作を示す動作ログを当該グループに追加する、ステップを実行させる命令を更に含む、
前記(c)のステップにおいて、前記新たな動作を示す動作ログが追加された、前記グループ毎に、前記ソフトウェアによって実行される行動計画を推定する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/003922 WO2020161780A1 (ja) | 2019-02-04 | 2019-02-04 | 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020161780A1 true JPWO2020161780A1 (ja) | 2021-11-25 |
JP7168010B2 JP7168010B2 (ja) | 2022-11-09 |
Family
ID=71947540
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020570224A Active JP7168010B2 (ja) | 2019-02-04 | 2019-02-04 | 行動計画推定装置、行動計画推定方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11989290B2 (ja) |
JP (1) | JP7168010B2 (ja) |
WO (1) | WO2020161780A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023012849A1 (ja) * | 2021-08-02 | 2023-02-09 | 日本電気株式会社 | 推論装置、推論方法、及び、記憶媒体 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
WO2015059791A1 (ja) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
WO2016027292A1 (ja) * | 2014-08-22 | 2016-02-25 | 日本電気株式会社 | 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170206479A1 (en) * | 2014-07-15 | 2017-07-20 | Nec Corporation | Work state analyzing system |
JP6643211B2 (ja) * | 2016-09-14 | 2020-02-12 | 株式会社日立製作所 | 異常検知システム及び異常検知方法 |
-
2019
- 2019-02-04 US US17/427,250 patent/US11989290B2/en active Active
- 2019-02-04 WO PCT/JP2019/003922 patent/WO2020161780A1/ja active Application Filing
- 2019-02-04 JP JP2020570224A patent/JP7168010B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
WO2015059791A1 (ja) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
WO2016027292A1 (ja) * | 2014-08-22 | 2016-02-25 | 日本電気株式会社 | 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
US20220114253A1 (en) | 2022-04-14 |
JP7168010B2 (ja) | 2022-11-09 |
WO2020161780A1 (ja) | 2020-08-13 |
US11989290B2 (en) | 2024-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kharraz et al. | Redemption: Real-time protection against ransomware at end-hosts | |
JP6599946B2 (ja) | 時系列グラフ分析による悪意ある脅威の検出 | |
US9870471B2 (en) | Computer-implemented method for distilling a malware program in a system | |
KR101122650B1 (ko) | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 | |
US10997289B2 (en) | Identifying malicious executing code of an enclave | |
JP6400758B2 (ja) | 不正リモート管理からのコンピュータを保護するためのシステム及び方法 | |
KR102271545B1 (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
KR20160046640A (ko) | 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법 | |
JP2017211978A (ja) | 業務処理システム監視装置および監視方法 | |
JP2019521400A (ja) | 推測的なエクスプロイトの試みの検出 | |
JP2019533258A (ja) | コンピュータセキュリティ動作を最適化するための動的評判インジケータ | |
US20170155683A1 (en) | Remedial action for release of threat data | |
CN111183620B (zh) | 入侵调查 | |
JPWO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
CN110717181B (zh) | 基于新型程序依赖图的非控制数据攻击检测方法及装置 | |
WO2020246227A1 (ja) | ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体 | |
US8490195B1 (en) | Method and apparatus for behavioral detection of malware in a computer system | |
JP7168010B2 (ja) | 行動計画推定装置、行動計画推定方法、及びプログラム | |
US10417414B2 (en) | Baseline calculation for firewalling | |
RU2587424C1 (ru) | Способ контроля приложений | |
RU2708355C1 (ru) | Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде | |
KR102458075B1 (ko) | 사이버물리시스템의 고가용성 보장을 위한 악성코드 대응 방법 | |
CN114900375A (zh) | 一种基于ai图分析的恶意威胁侦测方法 | |
JP7238987B2 (ja) | セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム | |
Canzanese et al. | Inoculation against malware infection using kernel-level software sensors |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210730 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210730 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220712 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220908 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220927 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221010 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7168010 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |